Digital Forensics:Windows Registry

Digital Forensics:Windows Registry

 

Windows Registry ถูกใช้เพื่อจัดเก็บข้อมูลและการตั้งค่าสำหรับโปรแกรมซอฟต์แวร์อุปกรณ์ฮาร์ดแวร์ค่ากำหนดของผู้ใช้การกำหนดค่าระบบปฏิบัติการและอื่น ๆ อีกมากมาย

Windows Registry

มักเรียกง่ายๆว่ารีจิสทรีคือชุดของฐานข้อมูลของการตั้งค่าคอนฟิกในระบบปฏิบัติการ Microsoft Windows

Windows Registry  คือ

 ฐานข้อมูลแบบลำดับชั้นส่วนกลางที่ใช้ใน Microsoft Windows 98, Windows CE, Windows NT และ Windows 2000 ใช้เพื่อเก็บข้อมูลที่จำเป็นในการกำหนดค่าระบบสำหรับผู้ใช้อย่างน้อยหนึ่งราย โปรแกรมประยุกต์และอุปกรณ์ฮาร์ดแวร์มากกว่าหนึ่งรายการ 

รีจิสทรีมีข้อมูลที่ Windows ใช้อ้างอิงต่อเนื่องระหว่างการทำงาน เช่น โปรไฟล์สำหรับผู้ใช้แต่ละราย โปรแกรมประยุกต์ต่างๆ ที่ติดตั้งในคอมพิวเตอร์และประเภทของเอกสารต่างๆ ที่แต่ละคนสามารถสร้าง การตั้งค่าแผ่นคุณสมบัติสำหรับโฟลเดอร์ต่างๆ และไอคอนโปรแกรมประยุกต์ต่างๆ ฮาร์ดแวร์ที่มีในระบบ และพอร์ตต่างๆ ที่มีการใช้งาน 

Structure of the Registry

Registry Hive

คือกลุ่มของคีย์ต่างๆ คีย์ย่อย และค่าต่างๆ ในรีจิสทรีที่มีชุดของแฟ้มสนับสนุนที่มีการสำรองของข้อมูลอยู่ แฟ้มสนับสนุนสำหรับไฮฟ์ทั้งหมด ยกเว้น HKEY_CURRENT_USER จะอยู่ในโฟลเดอร์ %SystemRoot%\System32\Config ใน Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 และ Windows Vista แฟ้มสนับสนุนสำหรับ HKEY_CURRENT_USER จะอยู่ในโฟลเดอร์ %SystemRoot%\Profiles\Username ส่วนขยายของแฟ้มสำหรับแฟ้มต่างๆ ในโฟลเดอร์เหล่านี้จะแสดงถึงชนิดของข้อมูลที่อยู่ในโฟลเดอร์ เช่นเดียวกัน บางครั้งการไม่มีส่วนขยายก็อาจบ่งชี้ถึงชนิดของข้อมูลในโฟลเดอร์เช่นกัน

Registry Hive Properties

กลุ่มและหน้าที่ของ Registry Root Key

Registry Root Key แบ่งออกได้ 5 กลุ่ม แต่ละกลุ่มจะมีหน้าที่เก็บข้อมูลที่แตกต่างกันไป แต่ก็จะมีความสัมพันธ์ของข้อมูลในแต่ละกลุ่มอยู่ ซึ่งมีรายละเอียดดังนี้
HKEY_CLASSES_ROOT
   ใช้เก็บข้อมูลเกี่ยวกับไฟล์ต่างๆ ที่ติดตั้งเข้ามาในวินโดวส์ เช่น นามสกุลของไฟล์ต่างๆ ซึ่งจะเชื่อมโยงกับ HKEY_LOCAL_MACHINE\SOFTWARE\Classes
HKEY_CURRENT_USER 
   เก็บข้อมูลรวมทั้งค่าต่างๆ ของยูสเซอร์ที่ใช้งานอยู่ในขณะนั้น เช่น หน้าจอ Control Panel ซึ่งจะเชื่อมโยงกับ HKEY_USERS
HKEY_LOCAL_MACHINE
   เชื่อมโยงกับไฟล์ฮิฟอื่นๆ โดยที่คีย์ตัวนี้จะไม่มีไฟล์ฮีฟของตัวเองบนดิสก์เหมือนคีย์อื่นๆ ทำหน้าที่เก็บค่าบนวินโดวส์ของผู้ใช้ทุกคน โดยจะแสดงในส่วนของ Device Manager
HKEY_USERS
   เก็บโพรไฟล์หรือค่าของผู้ใช้ทุกคน ค่าที่เก็บในส่วนนี้จะเหมือนกับค่าที่อยู่ใน HKEY_CURRENT_USER ที่เป็นอย่างนี้มีเหตุผลในการทำงานของตัววินโดวส์เอง
HKEY_CURRENT_CONFIG
   เก็บค่าฮาร์ดแวร์ที่ใช้งานอยู่ในปัจจุบัน เช่น ความละเอียดจอ,อุปกรณ์ต่าง ๆ ซึ่งจะเชื่อมโยงกับ HKEY_LOCAL_MACHINE

Registry Hive and related files

ที่เก็บ Windows Registry อยู่ที่ไหน?

ไฟล์รีจิสทรี SAM, SECURITY, SOFTWARE, SYSTEM และ DEFAULT และอื่น ๆ จะถูกเก็บไว้ใน Windows เวอร์ชันใหม่ (เช่น Windows XP ถึง Windows 10) ใน% SystemRoot% System32 Config โฟลเดอร์

Hive File Locations

ตัวอย่างเช่นเมื่อมีการติดตั้งโปรแกรมใหม่ชุดคำสั่งใหม่และการอ้างอิงไฟล์อาจถูกเพิ่มลงในรีจิสทรีในตำแหน่งเฉพาะสำหรับโปรแกรมและบางส่วนที่อาจมีผลกระทบกับไฟล์ดังกล่าว

“Quick Win” files #1 - The Registry-Part 1

“Quick Win” files #1 - The Registry-Part 2

ที่มา:

windows-registry-information

root-key-groups/ 

SANS Digital Forensics and Incident Response

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud